Governance, rischio e conformità per un'infrastruttura PCI-DSS 3.2.1 (parte 8 di 9)

Servizio Azure Kubernetes
Microsoft Entra ID
Microsoft Defender for Cloud

Questo articolo descrive le considerazioni relative a un cluster servizio Azure Kubernetes (AKS) configurato in base allo standard Pci-DSS 3.2.1 di Payment Card Industry Data Security Standard (PCI-DSS 3.2.1).

Questo articolo fa parte di una serie. Leggere l'introduzione.

Mantenere criteri di sicurezza delle informazioni

Requisito 12: mantenere i criteri che riguardano la sicurezza delle informazioni per tutto il personale

Microsoft completa una valutazione annuale di PCI DSS usando un valutatore di sicurezza qualificato (QSA) approvato. Prendere in considerazione tutti gli aspetti dell'infrastruttura, dello sviluppo, delle operazioni, della gestione, del supporto e dei servizi nell'ambito. Per maggiori informazioni, consultare la sezione Payment Card Industry (PCI) Data Security Standard (DSS) - Conformità Microsoft.

Questa architettura e l'implementazione non sono progettate per fornire indicazioni illustrative per documentare i criteri di sicurezza ufficiali end-to-end. Per le considerazioni, consultare le linee guida nello standard ufficiale PCI-DSS 3.2.1.

Di seguito alcuni suggerimenti generali:

  • Mantenere la documentazione completa e aggiornata sul processo e sui criteri. Prendere in considerazione l'uso di Microsoft Purview Compliance Manager per valutare il rischio.

  • Nella revisione annuale dei criteri di sicurezza incorporare nuove linee guida fornite da Microsoft, Kubernetes e altre soluzioni di terze parti che fanno parte della rete CDE. Alcune risorse includono pubblicazioni fornitore combinate con linee guida derivate da Microsoft Defender per il cloud, Azure Advisor, revisione ben progettata di Azure e aggiornamenti nella baseline di sicurezza di Azure del servizio Azure Kubernetes e cis servizio Azure Kubernetes Benchmark e altri.

  • Quando si stabilisce il processo di valutazione dei rischi, allinearsi a uno standard pubblicato, dove pratico, ad esempio NIST SP 800-53. Eseguire il mapping delle pubblicazioni dall'elenco di sicurezza pubblicato del fornitore, ad esempio la guida al Centro di sicurezza di Microsoft, al processo di valutazione dei rischi.

  • Mantenere aggiornate le informazioni sull'inventario dei dispositivi e sulla documentazione sull'accesso al personale. È consigliabile usare la funzionalità di individuazione dei dispositivi inclusa in Microsoft Defender per endpoint. Per tenere traccia dell'accesso, è possibile derivare tali informazioni dai log di Microsoft Entra. Di seguito sono riportati alcuni articoli per iniziare:

  • Come parte della gestione dell'inventario, mantenere un elenco di soluzioni approvate distribuite come parte dell'infrastruttura e del carico di lavoro PCI. Include un elenco di immagini delle VM, database e soluzioni di terze parti preferite dall'utente nell'ambiente CDE. È anche possibile automatizzare il processo creando un catalogo di servizi. Offre la distribuzione self-service usando le soluzioni approvate in una configurazione specifica, che è conforme alle operazioni continue della piattaforma. Per maggiori informazioni, consultare la sezione Stabilire un catalogo di servizi.

  • Assicurarsi che un contatto di sicurezza riceva le notifiche degli eventi imprevisti di Azure da Microsoft.

    Queste notifiche indicano se la risorsa è compromessa. In questo modo il team operazioni di sicurezza può rispondere rapidamente ai potenziali rischi per la sicurezza e attuare misure correttive. Assicurarsi che le informazioni di contatto dell'amministratore nel portale di registrazione di Azure includano le informazioni sul contatto che invierà notifiche alle operazioni di sicurezza direttamente o rapidamente tramite un processo interno. Per informazioni dettagliate, consultare la sezione Modello di operazioni di sicurezza.

Di seguito altri articoli che consentono di pianificare la conformità operativa.

Passaggi successivi